【功能安全】【ISO26262】术语
ISO 26262 是以 IEC 61508 为基础的安全相关电子电气系统功能安全标准,在道路车辆的安全系统开发中具有重要指导作用。该标准通过定义系统的功能安全要求、提供整体架构框架以及明确审核流程等内容来支持开发过程中的安全性管理。其核心目标是确保系统功能安全性和安全性完整性(ASIL),并通过危害分析和风险评估方法识别潜在风险并制定相应防护措施。同时, ISO 26262 强调功能安全的实现需覆盖从需求规范到生产维护的全生命周期管理,并通过评审和验证确保系统的安全性达到预期水平。
目录
一、前言
二、ISO 26262的整体架构
三、常用术语
一、前言
该标准基于IEC 61508的规定,并旨在满足道路车辆中特定电子电气系统的安全需求。
该标准适用于由电子、电气及软件等组成的道路车辆上的安全相关系统在其安全生命周期内的所有活动。
系统安全通过一系列安全措施得以保障。各技术类型被应用于开发过程的不同层面以确保系统的安全性。尽管 ISO 26262 主要关注电子电气系统的功能安全性但它还提供了基于其他技术的安全相关体系框架。
ISO 26262:
a) 覆盖了汽车安全全生命周期(从管理到报废),并精简了其中不必要的活动阶段;
b) 提供了一种基于风险评估的方法来判定汽车特定的安全完整性等级[汽车安全完整性等级(ASIL)];
c) 应用 ISO 26262 标准中关于汽车安全完整性等级(ASIL)的相关要求来规避过高的潜在风险;
d) 规定了确认和认可所需的具体措施以达到足够高的安全标准;
e) 明确了供应商应满足的相关要求。
功能安全受到开发、生产、维护以及管理等全过程的影响
二、ISO 26262的整体架构
三、常用术语
1、分配 allocation
将要求指定给架构要素
2、异常 anomaly
偏离预期的情况(如以需求为导向;遵循标准;参考相关文档中的设计要求;结合用户手册中的规定;以及结合行业标准或积累的经验)
3、审核 audit
对已实施流程的检查
4、汽车安全完整性等级(ASIL) Automotive Safety Integrity Level
D 代表最高严格等级, A 代表最低严格等级
5、组件 component
逻辑上和技术上可分的非系统(1.129)层面的要素(1.32),由多于一个硬件元器件(1.55)、或由一个到多个软件单元(1.125)组成
6、认可措施 confirmation measure
与功能安全相关的认可评审(1.18)、 审核(1.5) 或评估(1.4)
- 错误(error)定义为计算所得数值(计算结果)、观测数据(观察结果)以及测量结果与其真实值(真实情况)、规范值(标准要求)以及理论正确值(理论标准)之间的偏差程度。
8、失效模式 failure mode
要素(1.32)或相关项(1.69)失效的方式
9、失效率 failure rate
硬件要素(1.32)的失效(1.39)概率密度除以幸存概率。
10、故障 fault
可引起要素(1.32)或相关项(1.69)失效的异常情况
11、故障模型 fault model
由故障(1.42)导致的失效模式(1.40)的表现。
该电子电气系统(1.31)的功能异常表现(1.73)可能导致潜在风险。
因此,在设计和运行过程中必须严格遵循相关的规范和规定。
13、伤害 harm
对人身健康的物理伤害或损伤
风险 risk
一种方法用于对相关项中的危害事件进行辨识与分类,并规定防止或减轻相关危害所对应的安全目标为(R_{\text{ safety target}})、ASIL等级为(ASIL),目的是为了规避不合理的风险为\text{Risk}_{\text{unreasonable}}。
危害事件 dangerous incident
其危害程度(1.57倍)与运行场景(1.83倍)相辅相成。
潜行故障 latent fault
安全机制(1.111)未能探测出多点故障(1.77),且在多点故障探测时间区间(1.78)内无法被驾驶员察觉。
该方法具有显著的效果。
该系统出现多点失效现象。该现象是由多个独立故障(编号为1.42)共同作用所引发,并直接导致安全目标指标(编号为1.108)被违反的情况(编号为1.39)。需要注意的是,在这种情况下出现的安全目标违背必须满足所有相关因素同时发生这一前提条件。具体而言,在残余故障(编号为1.96)与其他独立故障结合时所导致的安全目标违背情况,则不属于多点失效范畴。
多点故障 multiple-point fault
由多个独立故障组合导致的一个多点失效(1.76)的单独故障(1.42)。
注:一种多点故障仅在识别出其对应的多点失效之后才能被检测出来;例如,在进行割集分析时就可以实现这一过程。
20、运行场景 operational situation
在车辆生命周期中可发生的场景
乘用车 typically refers to passenger vehicles designed for transporting passengers and their belongings. The vehicle construction and design are primarily utilized for the transport of people along with their personal items, excluding luggage and personal property. Typically equipped with a seating capacity of up to 8 passengers, these vehicles do not provide any standing room for passengers.
22、阶段 phase
在 GB/T XXXXX 特定部分中定义的安全生命周期(1.72)的阶段
23、评审 review
基于评审目的, 为达成预期的工作成果目标而进行的检查
注: 通过核对表可完成该评估过程
24、安全行动 safety-related activity 在该安全周期框架内(1.72)的特定子阶段(1.128)进行的活动。
该方案旨在防止控制性故障(1.130)以及监测并减少硬件异常事件(1.92),包括随机故障的发生及其潜在危害
为了维持特定的安全状态编号为(1.102),可采用电子电气(E/E)功能或要素(编号为(1.32))以及其它相关技术(编号为(1.84))作为基础手段。这些措施旨在监测故障现象(编号为(1.42))并有效管理系统失效情况(编号为(1.39))。
27、安全验证
通过检查与测试, 验证其成功实现了安全目标(1.108)
注: GB/T XXXXX- 4 提供了合适的确认方法
严重等级 severity grade
基于潜在危害程度为1.57的情景下,在可能发生的情况下进行预估,在一个或多个人员身上造成伤害的程度预计为1.56。
注: 在危害分析和风险评估中的参数S代表潜在伤害的影响等级
单点故障 single-point failure
未被安全机制()包含的要素()直接引致违背安全目标()。
注:也可参见单点失效()。
30、全局性故障 global system malfunction
由于某种特定原因导致的该故障(编号为1.39),仅当设计参数、生产流程步骤、操作规范或其他相关文件进行调整时才能彻底消除这种故障。
Systemic faults are defined as failures that manifest in a deterministic manner (1.39), and they can only be prevented through the implementation of process or design measures (1.42).
系统性故障 systematic fault
该故障在特定条件下会显现失效(参数值分别为1.39和1.42),仅当采取流程或设计措施时才能避免这种故障的发生
核实该阶段(1.89)及其次级阶段(1.128)的各项要求是否齐全、准确,并确保其已得到实施。
该验证评审过程旨在确认开发成果是否符合预期目标(1.137),包括项目需求和技术规范要求等各项标准。注释1提示相关标准中详细规定部分的具体要求。注释2强调该评审环节的主要目标在于确认所涉及案例及其失效模式的技术规范完整性以及相关要素的技术正确性。
审查 review
作为验证工作成果(1.142)的一种方法。
注 1:审查作为验证工作成果(1.137)的方法之一。
注 2:审查与测试(1.134)不同之处在于...通常不涉及相关项(如图中所示)。
注 3:被识别出的异常通常通过重新执行来处理,并对重做后的结果进行审查。
在审查过程中,评估员逐步阐述工作成果及其目标。(如图所示)。其目的是建立对工作成果的共同理解和识别其中存在的异常。
审查和走查属于同级评审(如图所示),但相比之下...严格性较弱于审查。
36、工作成果 work product
GB/T XXXXX 中一个或多个相关要求的结果